我的函数与 Mysql_real_escape_string

Question

我有针对网站的会话，这就是我使用它们的方式：

   $username = CleanMe($_SESSION["username"]);
   $password = CleanMe($_SESSION["password"]);

   //return clean values
   $_SESSION["username"] = $username;
   $_SESSION["password"] = $password;

CleanMe 是：

       function CleanMe($strWords){ 
       $bad_string = array("select", "drop", ";", "--", "insert","delete", 
       "xp_", "%20union%20", "/*", "*/union/*", "+union+", "load_file", 
       "outfile", "document.cookie", "onmouse", "<script", "<iframe", "<applet", 
       "<meta", "<style", "<form", "<img", "<body", "<link", "_GLOBALS", "_REQUEST", 
       "_GET", "_POST", "include_path", "prefix", "http://", "https://", 
       "ftp://", "smb://", "'", "\""); 
       for ($i = 0; $i < count($bad_string); $i++){ 
       $strWords = str_replace ($bad_string[$i], "", $strWords); 
       } 
       return $strWords; 
       }

现在，使用 mysql_real_escape_string 或我所拥有的 CleanMe 是否更安全？

Answer 1

尽可能地重用已有的功能； mysql_real_escape_string 在这种情况下。您很可能忘记了 CleanMe 中的某些内容，这使其不安全。您只需要忘记一个字符串即可使其不安全，并且您现在可能不知道该字符串是什么。

请记住：攻击者有足够的时间，并且只需要做对一次，但开发人员需要每次都做对。所以教训是：不要让自己变得更难，正确使用和应用现有功能。

Answer 2

尽管你的Cleanme() 函数完全没有意义， mysql_real_escape_string() 函数也没有成功（在这种情况下）。

你不应该使用它们中的任何一个！

出于任何“清洁”的目的。

mysql_real_escape_string() 并非旨在“清理”任何东西

但只是格式化字符串。

当你需要这个函数时，尽管“清理”你还是需要它，但这只是因为 SQL 语法需要它。 而在你不需要它的地方，转义对你没有帮助甚至一点。

这个函数的使用很简单：当你必须在查询中使用一个带引号的字符串时，你必须转义它的内容。不是因为一些想象中的注入，而只是为了逃避这些用于分隔字符串的引号。这是一个非常简单的规则，但被 PHP 人误解了。

这只是语法相关的功能，与安全无关。

在安全问题上取决于此功能，相信它会“清理”您的数据将最终导致您进行注入。

保护您的查询免受注入是一项更复杂的任务。有关详细信息，请参阅此complete explanation。

准备好的陈述也不是灵丹妙药。它仅在一半可能的情况下覆盖您的背部。详情见important addition I made to the famous question

Answer 3

您可以使用mysql_real_escape_string、prepared-statements 或使用另一个抽象层。这似乎比CleanMe 更安全。